Социальная инженерия – распознавание уязвимостей безопасности

Социальная инженерия – распознавание уязвимостей безопасности

Вы когда-нибудь сталкивались с опасностями социальной инженерии в своей компании? Социальная инженерия может повлиять на любую компанию, часто со значительным экономическим ущербом. Узнайте в этой статье, как защититься от подобных атак и как обучить сотрудников вовремя распознавать их.

В социальной инженерии злоумышленники используют изощренные методы, чтобы побудить жертв действовать в их интересах. Таким образом, сотрудники могут стать угрозой для всей ИТ-безопасности предприятий. Мы покажем вам, как действуют злоумышленники и какие меры защиты вы можете принять.

Никакая дыра в брандмауэре не несет ответственности за эту угрозу безопасности, а скорее сотрудники компании или, возможно, даже вы! Ведь вредоносные программы часто попадают в систему совершенно незаметно.

Социальный хакер имитирует знакомый процесс, чтобы у жертвы не было подозрений: письмо от поставщика услуг или даже от самого начальника или USB-накопитель с логотипом компании. Атаки обычно разрабатываются таким образом, что получателю предлагается выполнить определенное действие: например, ввести пароль на поддельном веб-сайте компании.

Социальная инженерия – методы атаки

Но как социальные хакеры связываются с жертвой?

Естественно, необходимы определенные подготовительные меры. Так, социальные хакеры получают контактную информацию, например в разговоре с сотрудниками, в социальных сетях или через интернет-исследования.

На втором этапе с целевым лицом напрямую связываются. Мошенники обычно применяют психологические уловки и играют с любопытством, чувством долга или доверием жертвы.

При атаке на конкретную компанию социальная инженерия обычно является только началом изощренной атаки. Социальный хакер крадет данные доступа к компьютеру в сети компании, чтобы продолжить атаку в качестве шлюза другими методами. Создав доступ к сети компании, он может получить доступ к другим компьютерам во внутренней сети.

Они используют разные инструменты для получения нужной информации от людей. Используются не только электронная почта или носители данных, такие как USB-накопители, но и телефонные звонки с срочными запросами конфиденциальной информации.

В социальном хакерстве используют неграмотность и доверчивость пользователей сети, чтобы преодолеть меры безопасности ИТ-системы. При взломе сетей используются следующие стратегии атак:

Приманка – игра с любопытством

Как насчет неизвестного, интригующего USB-накопителя или компакт-диска на столе? Что скрывается за ссылкой в странном письме? На этом этапе злоумышленник играет не только с любопытством, но и с доверием людей.

Ведь флешка с логотипом компании не может быть плохой! Как только носитель данных оказывается в ПК, перенесенный туда любопытным сотрудником, вредоносная программа переходит на компьютер.

Фишинг - классика

Классический и наиболее распространенный вариант социальной инженерии, который в последние годы наблюдается все чаще – это фишинг. Целью этого способа является перехват паролей от пользователей.

Стратегия прямого фишинга

При прямом фишинге социальный хакер пытается напрямую украсть пароли и пользовательские данные. В электронном письме или SMS пользователю предлагается перейти по ссылке на определенную домашнюю страницу, чтобы сохранить там свои данные – обычно с пометкой, что это необходимо по соображениям безопасности.

В прошлом фишинговые письма часто можно было идентифицировать как таковые с первого взгляда (плохой дизайн, неправильный адрес, ошибки в письме), сегодня они пытаются завоевать доверие своей жертвы с помощью профессионального дизайна и оригинального подхода. Предполагаемое электронное письмо от банка с просьбой ввести данные для доступа к онлайн-банкингу кажется обманчиво реальным.

SMTP заголовок письма предоставляет информацию об истинном происхождении, но многие не проверяют его. Эти фишинговые атаки обычно совершаются большими волнами с несколькими тысячами получателей электронной почты.

Spear Phishing – сложный промышленный шпионаж

В то время как фишинг предполагает забрасывание сети в надежде, что в сеть попадет как можно больше рыбы, целевой фишинг направлен на проведение очень целенаправленных атак на конкретную жертву.

Первоначально акцент делается на конкретном целевом человеке в компании. На первом этапе злоумышленник узнает все, что нужно знать об этом человеке и его окружении, например, внимательно изучает информацию из Интернета или учетных записей социальных сетей. Затем, на втором этапе он отправляет электронное письмо или SMS с личными данными, которые должны вызвать доверие целевого человека.

Например, человека просят открыть определенную ссылку или вложение, в результате чего вредоносное ПО попадает на ПК и, таким образом, в сеть компании. После того, как этот шаг будет сделан, социальные хакеры получают доступ к ценной информации, например к данным доступа компьютеров сети.

Помимо экономического ущерба, например, из-за промышленного шпионажа или потери/простоя данных из-за крипто-троянов также корпорации приносится нематериальный ущерб (ущерб репутации и потеря доверия клиентов)

Социальная инженерия: 3 действенные контрмеры

1. Обучите сотрудников

Социальная инженерия возможна только благодаря невежеству сотрудников. Поэтому профилактика и просвещение изначально являются наиболее эффективными мерами противодействия. Сотрудники должны быть осведомлены о теме социальной инженерии еще на этапе приема в компанию.

Можно многого добиться, просто обучив сотрудников простым правилам. Как развить здоровый скептицизм по отношению к незнакомцам? Как распознать атаки социальной инженерии? Каковой должна быть их реакция на возможные атаки социальной инженерии? Как обращаться с электронными письмами или носителями информации от неизвестных отправителей?

Поскольку в последние годы социальные сети становятся все более и более важными источниками информации для социальных хакеров, также существует потребность в разъяснениях относительно допустимой меры раскрытия личной и профессиональной информации.

2. Выполните тест на проникновение

Тест на проникновение дает возможность испытать атаки социальной инженерии на производственную систему в дополнение к другим атакам. Тест обычно проводится охранной компанией, которая затем берет на себя роль социального хакера и инициирует различные контролируемые атаки на сеть.

В зависимости от цели, «социально полезные хакеры» заранее согласуют, какие именно средства будут использованы, какие типы тестов на проникновение будут использоваться и при каких условиях будет происходить атака.

Таким образом можно выявить слабые места и лучше оценить опасности. Из-за высокой сложности эти тесты связаны с большими затратами времени и денег.

3. ИТ-безопасность за счет непрерывного мониторинга

Тесты на проникновение обычно проводятся не чаще одного раза в год, а промышленные компьютерные системы обеспечивают постоянный мониторинг сети.

Вы можете установить одну из них в вашу сеть, что позволит автоматизировать управление промышленными рисками, анализировать все сетевые соединения в системе, поможет обнаруживать атаки и будет немедленно сообщать о подозрительных процессах.

Такие системы не вмешиваются в производственную сеть, а скорее пассивно сканирует ее, тем самым избегая непреднамеренных сбоев в сетевой связи. Благодаря процессу пассивного сканирования кибератаки обнаруживаются с самого начала, и могут быть приняты соответствующие контрмеры для ограничения степени ущерба.

Современные взломы показывают, что во многих случаях человеческий фактор – это лучший вход в корпоративные и производственные сети. Умелые манипуляции используются для эксплуатации бессознательных моделей поведения человека с целью получения доступа к ценным коммерческим секретам или взлома защищенных сетей.

Так называемые целевые фишинговые атаки, при которых социальные хакеры выбирают для своих атак отдельных сотрудников, оказываются особенно опасными для компаний, поскольку именно сотрудники являются самым слабым звеном в цепочке с точки зрения аспектов безопасности.

Для защиты от таких атак компаниям необходим целостный подход к безопасности, включающий обучение сотрудников, а также установку промышленной компьютерной системы, которая непрерывно контролирует ИТ-инфраструктуру.